Ở mức tối thiểu cần đầu tư (tức là đảm bảo an toàn hệ thống CNTT và an toàn người bệnh ở mức cơ bản, đúng quy định tối thiểu), thì ta nên chia ra 5 nhóm thiết bị thiết yếu, bỏ qua các hệ thống cao cấp (SIEM, NAC, DR site…) vốn dành cho bệnh viện tuyến trung ương hoặc có ngân sách lớn.
Dưới đây là mức đầu tư tối thiểu mà một bệnh viện hạng II – III hoặc tuyến tỉnh nên có:
1. An toàn mạng và truy cập
Mục tiêu: Ngăn chặn tấn công, kiểm soát truy cập, bảo vệ hệ thống HIS/EMR, LIS, PACS.
| Thiết bị | Mục đích | Ghi chú khuyến nghị |
|---|---|---|
| Firewall cứng | Kiểm soát truy cập Internet và nội bộ | Có thể chọn UTM tầm trung (FortiGate 100F, Sophos XGS 2100, Mikrotik CCR series...) |
| Router quản lý VLAN | Phân tách mạng hành chính – chuyên môn – thiết bị y tế | Đảm bảo thiết bị y tế không chung LAN với văn phòng |
| Switch Layer 2/3 có quản lý | Kiểm soát băng thông, VLAN, PoE camera, WiFi | Tối thiểu switch core và switch tầng khoa/phòng |
| WiFi Controller / AP quản lý tập trung | Quản lý truy cập mạng không dây | Đảm bảo mật khẩu, tách mạng khách – nội bộ |
| VPN Gateway | Bảo mật khi truy cập từ xa (làm việc, kết nối cơ sở 2) | Có thể tích hợp trong firewall |
2. An toàn hệ thống máy chủ và dữ liệu
Mục tiêu: Duy trì hoạt động liên tục, bảo vệ dữ liệu bệnh án, hình ảnh, xét nghiệm.
| Thiết bị | Mục đích | Ghi chú khuyến nghị |
|---|---|---|
| UPS online 3–10kVA | Cấp nguồn liên tục cho server và thiết bị mạng | Cần giám sát pin định kỳ |
| NAS (Network Storage) | Sao lưu dữ liệu HIS/EMR/LIS/PACS | Nên có RAID 1 hoặc 5, dung lượng ≥ 8TB |
| Ổn áp cách ly điện | Ổn định nguồn, chống nhiễu điện | Bắt buộc với phòng server |
| Ổ cứng backup rời hoặc cloud backup | Lưu trữ bản sao offline | Backup định kỳ hàng ngày/tuần |
| Tủ rack có khóa | Bảo vệ vật lý thiết bị mạng và server | Cần khóa, nhãn, và dây tiếp đất |
3. An toàn vật lý và môi trường phòng server
Mục tiêu: Phòng ngừa cháy nổ, hư hỏng do nhiệt, ẩm, điện.
| Thiết bị | Mục đích | Ghi chú khuyến nghị |
|---|---|---|
| Cảm biến khói, nhiệt, độ ẩm | Cảnh báo sớm sự cố môi trường | Dạng độc lập hoặc tích hợp giám sát |
| Bình chữa cháy CO₂ hoặc khí sạch (FM200 mini) | Dập cháy trong phòng server | Bắt buộc tối thiểu 1 bình/10 m² |
| Ổ cắm PDU có công tắc riêng | Quản lý điện nguồn cho thiết bị | Giúp tránh quá tải ổ cắm |
| Tiếp địa hệ thống <4Ω | Đảm bảo an toàn điện và chống sét | Kiểm định định kỳ hàng năm |
| Camera giám sát phòng server | Theo dõi truy cập vật lý | Tích hợp chung hệ thống an ninh bệnh viện |
4. An toàn thiết bị đầu cuối
Mục tiêu: Ngăn rò rỉ thông tin, virus, sai sót thao tác ảnh hưởng đến người bệnh.
| Thiết bị | Mục đích | Ghi chú khuyến nghị |
|---|---|---|
| Phần mềm diệt virus bản quyền (Endpoint Security) | Bảo vệ máy trạm, chống mã độc | Triển khai đồng bộ toàn viện |
| Ổ khóa hoặc dây bảo vệ laptop, PC hành chính | Tránh mất thiết bị vật lý | Đặc biệt khu vực quầy tiếp đón |
| Thiết bị USB quản lý/ghi log (tùy chọn) | Kiểm soát sao chép dữ liệu y tế | Hoặc chặn qua Group Policy |
| Tài khoản người dùng cá nhân hóa (Active Directory) | Tránh dùng chung, log trách nhiệm | Có thể triển khai tối thiểu dạng local domain |
5. An toàn thông tin y tế và người bệnh
Mục tiêu: Đảm bảo dữ liệu bệnh nhân không bị rò rỉ, sai lệch hoặc gián đoạn.
| Thiết bị / Giải pháp | Mục đích | Ghi chú khuyến nghị |
|---|---|---|
| Máy chủ HIS/EMR/LIS/PACS trong mạng nội bộ | Hạn chế truy cập từ Internet | Không public IP trực tiếp |
| Phân quyền người dùng rõ ràng | Ghi nhận nhật ký thao tác | Hỗ trợ truy xuất trách nhiệm |
| Màn hình khóa tự động / bảo vệ mật khẩu | Tránh lộ thông tin bệnh nhân | Cấu hình mặc định 5 phút tự khóa |
| Giải pháp backup định kỳ (ít nhất 1 bản offline) | Khôi phục sau sự cố | Có kế hoạch phục hồi cụ thể |
| Sổ log truy cập hệ thống (Access Log) | Đảm bảo truy vết khi có sai phạm | HIS/LIS/PACS nên ghi log đầy đủ |
Tổng kết đầu tư tối thiểu
| Nhóm | Mức tối thiểu bắt buộc | Mức ưu tiên |
|---|---|---|
| An toàn mạng | Firewall, router, switch VLAN | Rất cao |
| An toàn dữ liệu | NAS hoặc backup rời, UPS | Rất cao |
| An toàn vật lý | Cảm biến khói, chữa cháy, camera | Cao |
| An toàn người dùng | Antivirus, tài khoản riêng, auto-lock | Trung bình |
| An toàn người bệnh (ứng dụng) | Hạn chế public, phân quyền, log | Rất cao |
